您的当前位置：首页正文

韶关市公安信息网边界接入平台系统建设和检测项目

来源：欧得旅游网

一、项目概述

本项目为市公安边界接入平台，包括：

一是构建市级边界接入平台。按照边界安全接入的规范要求，采取区分链路安全防御的方法，构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。

二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求，建设边界接入平台的集中监控和审计系统。

二、项目内容

根据接入对象不同，边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。

三、技术要求

基本技术要求

1) 平台建设方案要完全符合公安部颁发的《公安信息通信网边界接入安

全规范》要求；

2) 平台安全体系满足三重防护体系和两个基础设施的安全要求； 3) 平台集中监控与审计系统支持部/省/市三级接入平台体系； 4) 平台的关键设备：可信边界安全网关、数据交换系统、集中监管与审

计系统通过公安部指定的公安部等级评估保护中心的权威检测，并经公安部同意在全国公安信息通信网边界接入平台建设中广泛使用。边界接入平台其他产品也应是获得公安部销售许可的产品。

功能要求

1) 投标人必须严格按照公安部关于安全接入平台建设的有关文件《公安

信息通信网边界接入平台安全规范》的边界接入平台要求实施项目建设，并负责将所有设备按照公安部对边界接入平台的建设要求进行项目集成。

2) 平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务（社

会企事业单位接入、党政军机关接入、公安驻地外接入）完整功能的平台，外部网络接入业务上，需覆盖包括社会企事业单位接入、党政军机关接入和公安驻外地接入等各种业务的安全接入。

3) 可信边界安全网关实现用户身份认证，与公安PKI/PMI系统同一厂商，

支持证书链认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性；

4) 可信边界安全网关实现设备认证，依据设备注册登记信息对通过专线、

VPDN拨号等各种线路方式接入的终端设备进行认证，保证接入设备的合法性；

5) 可信边界安全网关可以根据边界接入的需要，设置角色，指定相应的

资源访问权限，防止非授权访问和越权访问；

6) 可信边界安全网关基于角色、权限分配，设置细粒度访问控制策略，

达到非法用户不能访问，合法用户不能越权访问的目的；

7) 可信边界安全网关实现传输保护，与客户端之间使用SSL协议对通信

过程进行加密和完整性保护，保证数据传输的安全性；

8) 数据交换系统可实现不同类型文件、数据库间的同步和交换，如Oracle

数据库、SQL Server数据库、DB2、SYBASE等，能够设置一对多数据同步,多对多数据同步，支持全表双向同步.支持数据库增删改同步。 9) 数据交换系统业务扩展性强，接入新的前置业务时，只需在数据交换

系统上作适当的配置即可实现新业务的数据交换，且不需要增加投资。源目标数据库表结构一致情况下自动快速匹配，减少配置难度。 10) 数据交换系统应实现丰富灵活的内容检查、病毒查杀、格式检查。内

容检查必须能够根据预先定义的规则进行内容过滤检查；病毒查杀能够查杀病毒木马等恶意程序,并能够更新病毒库；格式检查支持字段长度检查、数值范围检查、基于自定义布尔条件判断检查、身份证特定格式检查、大字段内容还原格式检查、不依赖扩展名文件格式检查。 11) 数据交换系统应支持多业务复用：必须支持多业务接入后,各业务之间

不冲突,单独启停其他业务不会影响正常业务.底层通道独立. 12) 数据交换行为可回溯：数据交换行为可追溯包括:数据来源,交换时间,

是否授权,交换内容,交换成功等.

13) 数据交换的文件交换支持单向双向文件同步,支持各种常见文件类型,

支持不同操作系统下的文件同步,传输文件大小无限制.

14) 数据交换必须支持单向的授权访问功能；支持TCP/UDP协议代理,同时

也用该支持常见协议代理,代理需做授权认证.

15) 集中监管与审计系统提供接入平台注册管理功能，包含平台信息注册、

业务信息注册、使用单位信息注册、设备信息注册、接口信息注册。 16) 集中监管与审计系统提供流量监测，能够监测整个平台以及平台内部

各个链路和业务的流量信息。

17) 集中监管与审计系统提供在线用户统计分析，用户行为审计，业务应

用审计，设备安全审计，异常行为审计，系统备份恢复功能，日志收集和导出功能和集中管理等功能。

18) 平台信息统计分析能够对平台本身进行相关信息统计和分析，包括设

备运行状况，负载情况。

19) 实现与公安信息网络运行管理系统对接。内置集成级联上报功能。安全要求

3.3.1系统安全要求

1) 提供有效手段保障网络通信基础设施、网络上的各种系统以及系统上

各种应用的正常运行，防止对公安专网信息资源进行非授权访问和操作，防止通过外网对公安专网的各种攻击行为。包括访问控制、病毒防护、审计与跟踪、可用性保障等内容。

2) 用户身份认证：能与公安PKI/PMI体系无缝集成，支持证书链认证，

支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性。整个平台须与公安PKI/PMI无缝集成，使平台接入终端在通过边界接入平台安全认证后可使用PKI/PMI系统的数字身份证书访问公安信息网资源。

3) 设备认证：能依据设备注册登记信息对通过专线、ADSL拨号、3G无线

等各种线路方式接入的终端设备进行认证，实现设备唯一性认证，防止非法设备接入。访问控制：能对用户访问公安信息通信网进行细粒度访问控制。通过身份认证的接入终端只能访问接入平台内的指定设备，并且只能进行允许的操作，非授权的访问应被阻断。

4) 配置安全：单向UTC，外网服务器不提供任何服务端口,不接受任何服

务请求,所有服务请求由内网信任服务器发起.

5) 安全信任链：内外网服务器与安全隔离网闸联动,通过证书建立信任关

系,在数据交换唯一通道形成一条安全信任链.增加系统健壮性。

3.3.2通信安全需求

1) 保障用户在接入公安专网过程中的身份的鉴别、数据传输中的保密性、

数据完整性验证等。

2) 数据通道保护：基于角色、权限分配、设置细粒度访问控制策略，能

达到非法用户不能访问，合法用户不能越权访问的目的。在客户端和可信边界安全网关之间建立高强度的安全加密通道，能保证数据传输的机密性、完整性，防止公安敏感信息在传输过程中被泄露或被篡改。 3) 链路认证：能对应用访问链路进行认证，防止非法链路接入。网络安

全需求。

3.3.3网络安全需求

1) 需实现包括社会企事业单位接入、党政军机关接入、移动警务办公接

入等在内的各类业务从链路安全、网络安全、主机安全、应用安全等层面的安全措施，并将社会企事业单位接入与其他接入链路从物理链路上隔离建立安全通道，确保链路安全。

2) 网络安全防护：需实现通过探针等对接入的行为进行分析，防止非法

和恶意的入侵行为；防病毒服务器对接入流量进行扫描，阻止病毒、恶意代码对公安信息通信网的渗透，为边界接入平台提供病毒防范功

能。

四、设备清单

本次招标采购的软硬件货物具体清单：

表1-1货物清单

序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 设备名称数据交换系统集中监控与管理系统集控探针可信边界安全网关 CA身份认证服务器安全隔离与信息交换系统防火墙 IDS入侵检测系统二层交换机路由器三层交换机服务器机柜三层交换机数量 2 1 2 2 1 2 2 1 2 1 2 4 2 1 单位套台台台台台台台台台台台套台性能指标详见以下详见以下详见以下详见以下详见以下详见以下详见以下详见以下详见以下详见以下详见以下详见以下详见以下详见以下五、软硬件技术指标要求

数据交换系统

表1-2数据交换系统

指标项规格详细要求主机包括两台主机，分别部署在两个网络之间，连接两个网络中应用服务器传输数据，主机之间部署安全隔离网闸实现隔离环境下进行数据安全交换 I/O设备网络每台设备具备2个千兆高速以太网网络接口，可扩展至最多4个其他 ★操作系统使用安全加固的TopOS安全Linux操作系统数据库同步支持SQLServer、Oracle、Sybase、DB2等的单、双向数据交换；无需修改数据库表结构，不涉及代码修改；可同时发送和接收多个数据库中多个表； ★数据交换支持多种增量方式；可分别定义增加、删除、修改的数据传输；根据指定字段值进行条件传输；支持大字段数据同步交换；支持异构数据库安全传输；数据传输方向控制 ★数据传输 ★内容过滤、格式检查、病毒查杀 ★业务、应用控制用户认证 ★系统审计系统管理性能及其它要求数据传输高度可靠，采用文件落地缓存确认机制进行保证。文件同步支持多种文件传输方式：专用客户端、FTP、Samba、NFS；高可靠文件传输，文件完整性校验；文件内容识别检查过滤；文件传输加密。流数据交换支持包括网络音频、视频、流媒体在内的多种协议数据传输交换：如FTP、TNS、POP3、SMTP等。日志收集收集平台系统内部各网络设备、应用服务器的运行日志，并同步到内部监管系统，用于平台系统日志分析。可根据实际应用需求配置应用传输方向，可根据管理员配置实现单向或双向的数据传输交换。以静态数据格式方式传输，也可根据需要落地到主机上形成静态文件进行交换。可对交换的数据内容进行检查过滤，识别敏感关键字符；对于数据库记录中的大字段内容可在还原后进行处理；对交换的数据库数据内容可根据用户定义进行格式匹配检查，防止数据被恶意篡改；内嵌病毒查杀引擎，可对不同平台下的病毒进行查杀。系统可根据管理员配置单独启停数据交换服务；也可根据管理员定义单独启停任何一个独立的应用。对系统管理员、普通用户分层次进行管理认证。对用户、管理员的所有操作均进行审计记录，并对非授权、越权访问进行记录。使用基于HTTPS的安全加密协议进行管理；可指定管理终端主机。 1、稳定性运行时间(MTBF)：>50000小时 ★2、可实现520Mbps的交换能力，10000个并发会话；数据库到数据库交换最大并发数据表≥1024； 3、数据影射最大字段数≥256； ★4、数据库到数据库交换记录数（>100Kb/记录）≥1000条/秒； ★5、数据文件处理文件数（>100Kb/记录）≥800个/秒；数据文件处理吞吐量≥200Mbps； ★6、应用层数据交换速度（FTP）≥200 Mbps； ★7、并发客户端数量≥3000；最大数据文件≥10G； 8、任务调度粒度为秒级； 9、目录监控触发时间<1秒；最大传输延时<50ms ★10、支持SYSLOG、SNMP V2/V3； 11、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。集中监控与管理系统

表1-3集中监控与管理系统

指标项规格主机详细要求标准机架式机箱，1U设备 I/O设备其他 ★终端认证授权 ★平台审计设备管理 ★业务管理报表输出系统监管 ★报警级联监管网络 2个千兆网络接口，可扩展至最多4个 ★操作系统使用安全加固的TopOS安全Linux操作系统对终端用户身份进行认证，只允许合法用户进入平台系统内部提交或采集数据对终端用户进行授权，允许访问指定的应用服务器；对数据交换服务器授权，允许在指定服务器之间交换应用数据。对平台内部所有设备的操作进行审计，包括网络设备、安全设备、服务器、终端、数据交换服务器等；审计的方式包括系统日志收集等。对平台内部设备通过SNMP或专用客户端进行管理和监控，对平台内部设备的异常流量、异常关机、异常中断等进行监控。对平台内部数据交换服务器上所交换的业务进行集中监管，屏蔽内部数据交换细节，以业务逻辑方式展现，便于系统管理人员管理、维护。根据用户选择提供多种形式的图形报表，展现数据交换趋势、汇总数据交换总量；报表可导出、可打印。使用动态图形展示整个数据交换平台内部的设备，展示的信息包括：设备运行状态、设备信息、链路数据吞吐量、终端用户信息；使用拓扑形式展现，方便系统维护管理人员对系统运行状况实时掌握，易于理解。对系统内部出现的异常情况以图形、声音方式报警提示；并可结合网管系统实现短信报警。对于同样使用本系统的上下级平台网络系统可直接进行级联监管；对于其他的平台系统可使用数据库数据导入导出的方式实现（符合公安部标准）。性能及其★1、实现对整个内外网数据交换平台的业务、应用、终端、服务器、网它要求络设备监管；并实现对下级系统的管理和向上级网络的级联上报 2、稳定性运行时间(MTBF)：>50000小时 ★3、最大支持业务数量：≥500； ★4、最大监控并发用户数量：≥2000； 5、最大审计用户数量：≥10000； 6、自身内置大型关系型数据库； ★7、可在内网实现对全网业务运行状态监控； ★8、可在内网实现对全网设备运行状态监控； ★9、可在内网实现对全网设备运行状态的管理； ★10、内置级联上报信息系统，满足后期级联上报数据需求。 11、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。集控探针

表1-4集控探针

指标项规格 I/O设备其他详细要求主机标准机架式机箱，1U设备网络 2个千兆网络接口，可扩展至最多4个 ★操作系统使用安全加固的TopOS安全Linux操作系统 ★协议支支持SYSLOG协议；支持SNMP v2/v3协议持性能及其★1、部署于应用服务区，收集边界接入平台数据交换系统外的网络设备、它要求应用服务器以及前置机的日志信息，并整理写入到平台监管系统的数据库 2、稳定性运行时间(MTBF)：>100000小时 3、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。可信边界安全网关

表1-5可信边界安全网关

指标项规格 I/O设备主要功能包括 ★用户身份认证 ★设备认证 ★权限管理访问控制传输加密监控审计 ★安全加固性能要求详细要求主机标准机架式机箱，1U设备，包括访问控制模块、审计模块网络 2个千兆网络接口用户身份认证、设备认证、访问控制、权限管理、传输加密、终端加固、监控审计等，并能支持与安全监控与管理系统的对接。与公安系统现有PKI/PMI系统属同一软件厂商，具备良好兼容性，支持对多种证书链的认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性。依据设备注册登记信息对接入平台的终端设备进行认证，保证接入设备的合法性可以根据边界接入的需要，设置角色，指定相应的资源访问权限，防止非授权访问和越权访问基于角色、权限分配，设置细粒度访问控制策略，达到非法用户不能访问，合法用户不能越权访问的目的与客户端之间使用SSL协议对通信过程进行加密和完整性保护，保证数据传输的安全性对接入用户的访问过程进行详细的记录，并实时报送给集中监控与审计系统，保证用户访问过程可控、可查、可追溯能实现对客户端软件的自动下载，并可实现客户端的自动启动、外联网口关闭及自动断网功能，以实现对客户端的安全加固。 1、稳定性 MTBF(平均无故障时间间隔)>50000小时； 2、支持双机热备、支持负载均衡 ★3、最大新建连接数：1500次/秒 ★4、最大并发连接数：2500条 5、每秒事务数目（TPS）：6500次 6、最大吞吐量：480Mbps 7、最大接入用户数：25000 ★8、产品必须满足《计算机信息系统安全产品第一部分：安全功能检测身份鉴别类》标准要求，满足国家保密局《涉及国家秘密的信息系统安全中间件产品技术要求》（秘密），并能提供同类项目的有效证明性文件。 CA身份认证服务器

表1-6 CA身份认证服务器

指标项规格 I/O设备 ★性能及其它要求主机网络详细要求标准机架式机箱大于1个百兆网络接口包括证书注册模块、证书签发模块、证书发布模块、密钥管理模块等四个部分，提供了完备的证书管理功能： 1、用户信息注册/签发；用户信息更新； 2、证书恢复；证书废除；证书重发； 3、微软智能卡证书/计算机证书/域控制器证书签发； 4、证书注销列表（CRL）与CA证书下载；内置LDAP服务； 5、产品在未来3年内符合国家密码技术发展要求,支持ECC算法。 6、支持最大用户数量≥20000个，并发用户数≥1000 同时，它具备完备的产品管理功能，如系统备份/恢复、系统在线升级、系统日志查询、License在线升级、管理员管理、网络配置等安全隔离与信息交换系统

表1-7 安全隔离与信息交换系统

指标项产品架构 ★系统架构详细要求采用 “2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成，主机系统采用VSP通用安全平台，隔离交换矩阵基于专用交换芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议自主研发的硬件，无操作系统，外界无法编程控制，而不是采用低安全性的通用可编程硬件，如网线、SCSI、USB等。 2U机箱；单电源；可扩展为热备冗余电源；软件系统:设备管理配置功能和定制访问功能(可实现访问控制,但无应用层过滤功能；内网:标配1个10/100M自适应网络接口,1个10/100M自适应网络扩展接口,1个10/100M自适用应管理口,1个10/100M自适应HA口(双机热备口)；外网:标配1个10/100M自适应网络接口,3个10/100M自适应网络扩展接口,1个10/100M自适应管理口,1个10/100M自适应HA口(双机热备口)。不小于91Mbps（单向）小于5ms 隔离交换矩阵接口接口配置性能系统吞吐量延时功能模块文件交换实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能。支持改名传输方式，可实现对源文件改名，标明传输状态。支持增量传输方式，可实现只传输修改和增加了的源文件。支持传输后删除方式，可实现传输结束后删除源文件。数据库同步支持Oracle、SQL、Sybase、DB2等主流数据库，支持不同类型的数据库间、不同结构的表间的内容同步； ★支持客户端与网闸间的第三方数字证书方式的身份认证，确保只有被授权的合法用户才能运行； ★支持客户端与网闸间的SSL加密传输，确保网络数据传输的安全定制访问实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，实现如黑白名单控制、关键字过滤等消息传输支持基本字符和文本的消息传输,支持二次开发API，支持SSL加密传输，提供文本消息的内容过滤主机系统内置USE统一安全引擎遵循CSC关联安全标准，实现与内网安全管理系统联动，通过Leadsec安全管理系统实现集中安全管理支持MRP多重冗余协议，保障设备的高可靠性物理端口支持标准，实现链路聚合功能与防火墙、入侵检测系统IDS为同一品牌，确保统一遵循安全标准(CSC)，实现无缝联动。具有《计算机信息系统安全专用产品销售许可证》具有《国家信息安全认证产品型号证书》具有《涉密信息系统产品检测证书》具有《军用信息安全产品认证证书》具有《计算机软件着作权登记证书》具有计算机信息系统集成一级资质具有国家信息安全认证服务二级资质具有涉及国家秘密的计算机系统集成甲级资质攻击防御专业检测引擎关联安全内网管理联应用动可靠性专用冗余协议链路聚合其它 ★证书资质要求防火墙

表1-8 防火墙

指标项 ★操作系统产品硬件规格详细要求要求具备自主研发的安全操作系统，并提供该安全操作系统的软件着作权及彩页作为证明标准1U设备，标配6个10/100/1000BASE-T端口，最大可扩规格性能参数展至8个10/100/1000BASE-T端口最大无故障时间(MTBF):80000小时吞吐量(bps);1.1G 最大并发连接数;180万每秒新建连接数;16000 可支持扩展IPSecVPN 与SSL VPN模块识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件识别和控制QQ、MSN等常用IM软件，一键式阻断IM软件机密文件传输 P2P下载控制 P2P视频播放控制 IM即时通讯软件控制绿色识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情上网在线游戏控制缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、炒股软件控制指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件支持基于分类库的URL访问控制，可以对色情、反动等多种负面网站按类别进行选择控制支持50多种分类库，800万级网址智能特征库 WEB过滤支持URL独立特征库，支持增量升级管理采用高速辨认技术，缩短匹配时间，不影响产品整体性能基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全状态检测策略的带宽控制可基于时间和安全域进行安全隔离，同一时间内网主机只能访问DMZ区或者只能访问外网访问实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理透明代理控制和深度过滤 IP/MAC绑定用户认证网络适应性实现IP/MAC地址绑定，且支持IP/MAC地址对的自动探测和唯一性检查支持基于客户端的本地认证、无客户端软件的WEB认证，并支持Radius等第三方认证支持透明、路由、混合三种工作模式支持DHCP Client、DHCP Relay、DHCP Server 支持PPPoE接入，并具备自动断线重连技术支持纯透明桥接功能接入模式路由支持静态路由，动态路由（OSPF、RIP等），VLAN间路由，单臂路由，组播路由等支持基于源/目的地址、接口的策略路由支持多出口路由负载均衡支持双向NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一对一等多种方式的地址转换支持和ISL VLAN封装协议，支持两种封装的互换以及Vlan VLAN Trunk 基于IP地址、服务、网口、时间等定义带宽分配策略带宽管理支持最小保证带宽和最大限制带宽支持分层的带宽管理在各种工作模式下均支持（ GK）、SIP、FTP、MMS、RTSP、UPnP、动态协议 XDMCP、TNS等多种动态协议支持标准IPSec协议，能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通支持预共享密钥、证书等认证方式且支持X扩展认证支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算IPSec VPN 法支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法支持多出口VPN，且支持NAT穿越支持隧道接力，并可通过隧道接力实现分级的树状VPN结构部署 GRE/PPTP/L2TP 支持GRE、PPTP 、L2TP等VPN连接 NAT VPN SSL VPN 支持SSL VPN和IPSec VPN同时使用采用无客户端认证方式实现隧道安全连接能进行个性门户（portal）定制化处理，可替换图片、文字等 IPSec VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通支持基于USB Key的证书认证方式 IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista等操作系统集成基于统一安全引擎（USE）的IDS模块，具备1600种以上攻击特征库规则遵循关联安全标准(CSC)实现与IDS的联动采用基于摘要索引的内容加速算法（DCA算法）进行蠕虫病毒过滤采用基于TCP连接数管理的侦测技术，对感染蠕虫病毒的异常主机进行定位 VRC(VPN客户端) ★入侵检测与防御入侵检测蠕虫防护内容过滤 ★关联安全应用实现对blaster，nachi，nimda，codered，sasser，slapper，sqlexp，zotob等主流蠕虫病毒的识别、过滤和拦截可识别和防御syn flood、Ping flood、udp flood、teardrop、抗DDoS/DoS攻sweep、land-base、ping of death、smurf、winnuke、圣诞击树、碎片等多种攻击网页过滤支持对网页关键字和Java、JavaScript、ActiveX进行过滤支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤邮件过滤支持对中转垃圾邮件进行识别和过滤 FTP过滤支持对FTP上传和下载文件的控制支持关联安全标准(CSC) 可实现与IDS等设备的联动关联安全可实现与内网安全管理系统(ISM)的联动支持友好的Web图形界面配置支持远程SSH和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式，支持管理员权限分级系统管理支持SNMP管理，与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档可进行配置文件的备份、下载、恢复和上传管理配置系统监控日志报警 ★集中管理负载均衡高可用性双机热备支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控支持设备内存储和专用事件分析服务器两种日志管理方式支持分级报警，支持SNMP Trap和邮件等报警方式可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能可通过专用的集中管理系统，实现对网络拓扑的管理，基于域的权限分配和报表自动生成，以及设备的历史状况回放可提供专用的软件实现对防火墙接入用户认证的集中管理，至少可同时管理2048台防火墙支持多重冗余协议(MRP)，实现链路备份、端口备份、热备份、集群备份等支持防火墙多WAN口备份和负载均衡支持基于标准的多端口聚合，实现零成本扩展带宽通过状态同步技术实现2～32台防火墙的多机集群在NAT、路由、透明模式下支持A-A,A-S模式，且切换时间小于1秒可在热备和集群工作模式下支持多台防火墙的配置自动同步其它 ★证书资质要求防火墙，安全隔离与信息交换系统与入侵检测系统必须为同一品牌。具备公安部颁发的《计算机信息系统安全专用产品销售许可证》具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》具备中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》具备中国人民解放军信息安全测评认证中心颁发《军用信息安全产品认证证书》具备国家版权局颁发的《计算机软件着作权登记证书》具备信息产业部颁发的《计算机信息系统集成一级资质证书》具备中国信息安全产品测评认证中心颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类二级）具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）厂商是中国信息安全产品测评认证中心授权培训机构投标人必须具有原厂商对该项目的支持授权 IDS入侵检测系统

表1-9 IDS入侵检测系统

指标项产品架系统架构构 ★操作系统 ★检测引擎监听接口性能最大检测能力检测功入侵检测能详细要求产品由控制台软件和探测器两部分组成，探测器使用专用的一体化硬件平台探测器的操作系统为VSP通用安全平台，具备高效、智能、安全、健壮、易扩展等特点探测器采用高性能的USE统一安全引擎不少于3个10/100M自适应电口不小于100Mbps 综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术，并支持自定义协议和检测事件 ★支持对VLAN Trunk、SSL加密数据等进行检测支持IP碎片重组、TCP流重组、引擎级的事件归并、报警缩略再分析、规则阈值修改、多网段定义检测等功能 ★超过3500条的检测规则，全面兼容CVE、BugTraq等国际标准漏洞库探测器提供本地日志缓存，避免因为控制台与探测器断开引擎的报警日志丢失；要求缓存空间不小于80Gb 超过900条的蠕虫病毒检测规则支持对已知病毒和未被蠕虫病毒利用的系统漏洞进行病毒蠕虫检测检测一台探测器实体可被虚拟成多个独立的虚拟探测引擎 ★每个虚拟探测引擎可应用不同的检测和响应策略 ★并行数据采集每个虚拟探测引擎支持多监听口并行数据采集，实现了在数据汇聚分析基础上再进行攻击检测，解决了大流量环境引起的交换机镜像丢包问题，以及单臂路由、TAP分流环境的会话还原问题 ★状态监控支持对引擎存活状态、引擎运行时间、CPU和内存使用率、当前监测会话数、报文流量、检测丢包数等的实时监控和显示响应方被动响应方式支持实时的邮件、手机短信、报警灯、焦点窗口等多式种被动报警响应方式。主动响应方式支持与遵循CSC、TOPSEC、OPSEC、IAP协议的联想网御、天融信、CheckPoint、Netscreen、Cisco PIX等国内外品牌主流防火墙的联动支持SNMP Trap协议，报警信息可被Leadsec、Topsec等多种安全管理系统接收和处理其它与防火墙、安全隔离与信息交换系统必须为同一品牌，确保统一遵循安全标准(CSC)，实现无缝联动。 ★证书资质证书要求具有《计算机信息系统安全专用产品销售许可证》具有《国家信息安全认证产品型号证书》具有《涉密信息系统产品检测证书》具有《军用信息安全产品认证证书》具有《计算机软件着作权登记证书》具有计算机信息系统集成一级资质具有国家信息安全认证服务二级资质具有涉及国家秘密的计算机系统集成甲级资质虚拟引擎二层交换机

表1-10 二层交换机

指标项 ★交换容量 ★转发性能 ★端口配置 MAC地址表 VLAN特性 ★链路聚合镜像功能详细要求 ≥48Gbps ≥35Mpps 可用千兆电接口数量≥24；千兆光接口数量≥4 ≥16K ★支持基于端口的VLAN，支持基于协议的VLAN，支持策略VLAN，支持Voice VLAN 最大VLAN数≥4094；支持GE口端口动态聚合；支持至少20个端口聚合组，每组支持至少8个GE；支持LACP；支持本地端口镜像和远程端口镜像RSPAN；组播 QOS 生成树访问控制策略安全特性管理和维护 ★资质认证支持IGMP（Internet Group Management Protocol） Snoopingv1/v2；支持组播VLAN；每端口支持≥8个优先级队列；支持IEEE DSCP优先级，支持方式为SP/SDWRR/SP+SDWRR的队列调度，支持基于端口/流的限速，最小粒度为1Kbps 支持STP/RSTP/MSTP协议；支持二到四层策略的报文ACL功能；支持自动下发ACL、自动下发VLAN和自动下发QoS Profile功能；支持认证，支持基于端口的认证和基于MAC的认证；端口mac地址数目学习限制支持DHCP Snooping，防止欺骗的DHCP服务器；支持ARP入侵检测；支持SNMP V1/V2/V3、RMON、SSHV2 ★支持虚电缆检测功能(VCT)，快速准确定位网络中故障电缆的短路或断路点；支持单向链路检测(DLDP),有效的防止网络中单通故障的发生；支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。要求提供信产部入网证和检验报告路由器

表1-11 路由器

指标项 ★体系架构 ★处理性能详细要求整机接口卡插槽数≥6 整机包转发能力≥200Kpps 固定接口配置 ≥2GE；USB接口≥2 接口要求链路层协议 IPv4协议 IPv6协议 ★语音路数 ★语音协议 MPLS 安全支持E1/T1、FE、GE、POS、CPOS等接口支持PPP、MP、HDLC、ETHERNET、MSTP等链路层协议支持IPv4以及RIP、OSPF、BGP4等动态路由协议支持IGMP、PIM-DM、PIM-SM、MBGP、MSDP等组播路由协议 ★支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+，支持IPv4向IPv6的过渡技术，包括IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道 ≥120 支持、SIP协议支持MPLS VPN，IPSec VPN、GRE、L2TP等 ★支持L3VPN：支持跨域MPLS VPN（Option1/2/3）、嵌套MPLS VPN、CE双归属、MCE、多角色主机等支持L2VPN：Martini、Kompella、CCC和SVC方式支持MPLS TE、RSVP TE 支持标准和扩展ACL QoS 可靠性 ★业务扩展管理特性资质认证支持包过滤/ASPF防火墙、URPF等多种安全特性支持流量监管：CAR限速，粒度可配,GTS流量整形支持拥塞避免算法：Tail-Drop、WRED 支持各种队列调度机制：FIFO、PQ、CQ、WFQ、CBWFQ 支持接口模块热插拔支持软件热补丁功能，可在线进行补丁升级支持OSPF/IS-IS/BGP/MPLS LDP GR (Graceful Restart)功能实现主备引擎倒换时无间断转发支持BFD：Static Route/OSPF/ISIS/BGP/VRRP/TE FRR等支持网流分析、防病毒、WAN优化等业务处理支持Console/AUX Modem/Telnet 等管理方式支持SNMP v1/V2/V3 支持RMON 支持NTP协议提供第三方权威机构测试证明材料 ★提供信产部入网证书三层交换机

表1-12 三层交换机

指标项交换容量 ★转发性能电源 ★接口类型 VLAN特性链路聚合镜像功能详细要求 ≥192Gbps ≥95 Mpps 支持双电源输入万兆接口数量≥4 可用千兆电接口数量≥24，千兆光接口数量≥4，支持百兆千兆SFP自适应支持基于端口的VLAN，支持基于协议的VLAN，支持基于MAC的VLAN；最大VLAN数(不是VLAN ID) ≥4094 支持最多8个GE口或4个10 GE端口聚合；支持最多14/26个聚合组；支持LACP 支持本地端口镜像和远程端口镜像RSPAN；每端口支持8个优先级队列；支持，DSCP/TOS优先级和重新标记能力，支持基于时间段的流分类和QoS控制能力； ★支持出方向的流量限速功能（Egress Car）；提供广播风暴抑制功能；支持PIM-DM、PIM-SM、IGMP、IGMP Snooping等协议支持MLD，MLD Snooping等IPv6组播协议支持IPv4静态路由、RIP V1/V2、OSPF、BGP 支持IPv6静态路由、RIPng、OSPFv3、BGP4+ 支持IPv4和IPv6环境下的策略路由支持IPv6手动隧道、6to4隧道和ISATAP隧道 QOS 组播协议路由协议支持VRRPv2/v3（虚拟路由冗余协议)；可靠性支持RRPP（快速环网保护协议），环网故障恢复时间不超过200ms；支持STP/RSTP/MSTP协议；支持IPv6 ACL；支持出方向ACL 支持IP+MAC+PORT的绑定；支持DHCP Snooping，防止欺骗的DHCP服务器；支持SNMP V1/V2/V3、RMON、SSHV2 ★支持sFLow，可以对出入方向的报文按比例随机抽样，灵活实现报文采集；支持虚电缆检测功能(VCT)，快速准确定位网络中故障电缆的短路或断路点；支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。 ★要求提供信产部入网证和检验报告要求提供信产部IPv6入网证和检验报告安全特性管理和维护资质认证服务器

表1-13 服务器

指标项规格 I/O设备其它要求主机网络详细要求标准机架式机箱大于1个百兆网络接口 CPU：Quad-Core Intel? Xeon? 5410 内存：4G DDR2 667 硬盘：146G SAS 网络：Broadcom 10/100/1000M×2 机柜

表1-14机柜

指标项其它要求详细要求国产主流知名品牌，19英寸、1000mm、42U标准机柜含LCD显示器、海讯16口KVM切换器、键鼠、三块隔板、黑色、四个风扇、2路12口PDU、1路24口配线架三层交换机

表1-15机柜

指标项交换容量详细要求 ≥96Gbps ★转发性能 ★端口配置 MAC地址表 VLAN特性 ★链路聚合镜像功能组播 QOS 生成树 ★访问控制策略安全特性管理和维护资质认证 ≥71Mpps 可用千兆电接口数量≥48；千兆光接口数量≥4 ≥16K ★支持基于端口的VLAN，支持基于协议的VLAN，支持策略VLAN，支持Voice VLAN 最大VLAN数≥4094；支持GE口动态聚合；支持至少20个端口聚合组，每组支持至少8个GE；支持LACP；支持本地端口镜像和远程端口镜像RSPAN；支持IGMP（Internet Group Management Protocol） Snoopingv1/v2；支持组播VLAN；每端口支持≥8个优先级队列；支持IEEE DSCP优先级，支持方式为SP/SDWRR/SP+SDWRR的队列调度，支持基于端口/流的限速，最小粒度为1Kbps 支持STP/RSTP/MSTP协议；支持二到四层策略的报文ACL功能；支持自动下发ACL、自动下发VLAN和自动下发QoS Profile功能；支持认证，支持基于端口的认证和基于MAC的认证；端口mac地址数目学习限制 ★支持DHCP Snooping，防止欺骗的DHCP服务器；支持ARP入侵检测；支持SNMP V1/V2/V3、RMON、SSHV2 ★支持虚电缆检测功能(VCT)，快速准确定位网络中故障电缆的短路或断路点；支持单向链路检测(DLDP),有效的防止网络中单通故障的发生；支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。 ★要求提供信产部入网证和检验报告注：以上加“★”的技术参数指标必须满足，否则作无效投标处理。

六、项目要求

公安信息网边界接入平台建成后，须经公安部授权的安全测评机构进行

安全检测合格后方可正式入网运行。（检测费用由中标方承担，并包含在本次招标总报价当中，采购方不再另行支付任何费用。）

七、工期要求

合同签订后三十个工作日内完工，并提供详细的完工时间表。

八、付款方式

签订合同后付30%，项目验收合格后先付65%，余款在验收合格后12个月付清。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文